System zur Authentifizierung per Browser gestartet
Mozilla BrowserID: Nie wieder Passwörter merken
Nachdem die Mozilla-Stiftung im Juli ihr Authentifizierungssystem BrowserID angekündigt hat, nimmt dieses nun langsam konkrete Formen an. Bis Ende des Jahres sollen die Mozilla-Websites auf das neue Verfahren umgestellt sein, andere Anbieter dürften schnell nachziehen. Netzwelt zeigt, wie BrowserID funktioniert.
Inhaltsverzeichnis
- 1Schlüsselpaar
- 2Kein Passwort
- 3Fazit
Jeder Surfer kennt das Problem: Man möchte gerne einen neuen Online-Dienst nutzen, muss sich zuvor aber erst umständlich als neuer Benutzer registrieren. Neben der Herausforderung, sich Dutzende Kennwörter zu merken, gibt der Nutzer mit diesem Verfahren gleichzeitig die Kontrolle über seine Daten aus der Hand.
Schlüsselpaar
Obwohl Facebook, Google und andere Anbieter ihre Zugangssysteme mittlerweile für dritte Anbieter geöffnet haben, sind diese keine tragfähige Lösung für das Problem, da sich Nutzer hier wieder an einen bestimmten Anbieter binden. Einzig OpenID ist eine echte Alternative, um sich mit einem einzigen Paar aus Nutzername und Kennwort bei mehreren Websites anzumelden, da es auf einer dezentralen Architektur basiert. Da sich OpenID nie großflächig durchgesetzt hat, haben die Programmierer von Mozilla BrowserID entwickelt.
Das Konzept von BrowserID ist eigentlich ganz einfach: Genau wie bei OpenID muss sich der Anwender erst bei einem Identitätsprovider registrieren und dabei eine gültige E-Mail-Adresse angeben. Dieser generiert für den Nutzer dann einen öffentlichen und einen privaten Schlüssel, wobei nur letzterer im Browser gespeichert wird. Die Kombination aus öffentlichem und privatem Schlüssel kennen einige Nutzer möglicherweise bereits vom Versand signierter oder verschlüsselter E-Mails, sie hat sich in der IT-Welt gemeinhin als sicher etabliert.
Kein Passwort
Das Besondere an BrowserID ist, dass der Nutzer sich überhaupt kein Kennwort mehr merken muss: Sobald er sich bei einer Internetpräsenz anmelden möchte, die BrowserID unterstützt, fragt ihn der Webbrowser nur nach einer gültigen E-Mail-Adresse, die mit dem hinterlegten privaten Schlüssel übereinstimmt. Die Website kann dann anhand des öffentlichen Schlüssels und des Identitätsproviders überprüfen, ob sich wirklich der richtige Nutzer anmeldet und das Schlüsselpaar gültig ist. Nur wenn das der Fall ist, erhält der Anwender Zugang zum privaten Bereich und seinen Daten. Das persönliche Schlüsselpaar eines Benutzers ist weltweit eindeutig, kann praktisch nicht gefälscht werden und fungiert damit als eine Art virtueller Fingerabdruck.
Im Moment macht noch keiner der großen E-Mail-Anbieter bei BrowserID mit. Trotzdem können sich Nutzer schon heute ein Konto für den Dienst einrichten: Auf der Website BrowserID.org können sie sich anmelden, was zunächst die Bestätigung der E-Mail-Adresse nach sich zieht. Da bisher kein aktueller Webbrowser das BrowserID-Verfahren unterstützt, müssen Nutzer doch noch einmal ein Kennwort definieren, um den Dienst über den Umweg der BrowserID.org-Website zu verwenden. Mozilla hat versprochen, Firefox in Zukunft mit einer BrowserID-Unterstützung auszustatten, lediglich zum Zeitrahmen sagen die Entwickler nichts.
Fazit
Sollten die Mozilla-Websites wie angekündigt bis Ende des Jahres umgestellt werden, dürfte die Integration in Firefox auch bald folgen. Es bleibt zu hoffen, dass BrowserID von den großen Internet-Konzernen besser angenommen wird als OpenID und sie den Nutzern damit ihr Online-Leben erheblich erleichtern.